网络安全保护食品和农业
网络安全:保护食品和农业的重要举措
负责食品和农业安全的美国监管机构是食品和药物管理局(FDA)。然而,FDA的食品安全部门主要参与确认货架上的产品是否含有已知病原体或有毒化学物质,以便进行召回。确保从受污染的货架产品起源的食品管道的网络安全依赖于国土安全部提供的资金以及国家标准与技术研究所提供的架构。
FDA健康专家林赛·哈克说:“食品和农业领域的许多方面与互联网连接,因此它们潜在受到网络攻击的威胁。我们建议遵循国土安全部的网络安全与基础设施安全局(CISA)以及国家标准与技术研究所发布的网络安全指南。”
太平洋西北国家实验室(PNNL)正在负责第一项由国土安全部赞助的探索智能农业技术和食品管道的网络安全漏洞及其对美国社会可能造成的影响的工作,据PNNL的流行病学家和数据科学家玛丽·兰卡斯特表示。
兰卡斯特说:“技术正在快速创造第四次农业革命。我们的项目名为FARM(食品和农业风险建模),将主动识别当今数字农业软件和设备中的潜在漏洞,并计算潜在成功的网络攻击的后果,这是一个巨大的问题,其他人没有解决。”
第一次农业革命发生在最后一次冰河时代之后(公元前约10000年),当时人类从“狩猎采集”的生活方式逐渐转变为“农业和定居”的方式,这进一步使得越来越大的人口中心成为可能。
第二次农业革命(公元1650年左右)标志着每个农业劳动者的产出增加了五倍,为中央化的人口增长创造了条件,从而催生了工业革命(公元1800年左右)。
第三次农业革命(公元1900年左右)通过增强种子品种和广泛使用化肥、农药和控制灌溉来增加农作物产量,实现了更高的产量。
第四次农业革命(公元1960年左右)开始快速转向数字技术,重点是整合农业的各个环节——从田地和牲畜到加工和供应食品的非农业段落,这就需要更多的数据分析来持续监控作物和牲畜的生长/健康/供应。这导致农民、农业信息服务提供商和大型管道参与者(如主要超市品牌)对大数据的日益依赖。
随着第四次农业革命的数字化,网络安全漏洞日益增加。网络攻击已经给食品行业的企业带来经济问题,导致食品召回越来越频繁,甚至直接对管理食品加工的IT设施进行攻击。例如,2021年5月,世界最大的肉类加工公司JBS(以创始人何塞·巴蒂斯塔·索布里尼奥命名)遭到了勒索软件攻击,影响了其全球运营;该公司于2021年6月支付了1100万美元的比特币赎金,以使职业黑客放弃攻击其系统。在勒索软件攻击期间,该公司不得不暂时关闭其在澳大利亚、加拿大和美国的一些业务,导致全球范围内的1万名员工失业。
为了预防未来与食品相关的IT攻击、食品成分被黑客篡改、食品加工设备受到恶意软件攻击以及其他数字管道侵入,PNNL创建了食品和农业风险建模(FARM)计划。FARM的目标是开发精确模拟第四次农业革命的整个数字部分的软件,特别是确定其网络安全漏洞和可能的影响,例如食品供应中的缺口、中毒、测试数据伪造导致不必要的召回、犯罪伪造、勒索软件等等。
兰卡斯特说:“FARM是由PNNL的工业网络安全研究发展而来,致力于在新的方向上进行不断增长的漏洞识别。我们构建的软件模型将评估成功攻击的风险,识别从自动化农业种植实践到数字食品加工系统再到供应管道物流的攻击面,其中包括从工业来源获取的数据,从而最终确定食品和农业网络安全漏洞的成功利用所带来的影响。”
农业自动化可能在国民生产总值中占比相对较小,但太平洋西北国家实验室(PNNL)初步分析的结果却令人惊讶。”令我们着迷的是,我们没有意识到食品行业是如此普遍。”兰卡斯特说道。”根据政府数据,食品行业(包括种植树木供加工成纸张用于包装)占美国就业的约10%。”
根据兰卡斯特对政府统计数据进行的调查,约一半用于种植食物的耕地使用了自动化设备,90%的食品包装是由机器人完成的,因此容易受到网络安全漏洞的攻击。他们还发现,该行业的数字化正在日益增长,因为自动化技术在效率、生产能力和符合政府监管要求方面不断提高。
“自动化将继续在农业的各个领域扩散,因为它能让行业在极为微薄的利润率下做出更明智的决策。”兰卡斯特说道。
PNNL表示,FARM是第一个美国的工作,旨在主动识别数字化农业和食品管道技术的潜在漏洞,并预测利用这些漏洞可能导致的敌对后果——从种植作物到摆放成品产品在货架上。
最危险的网络安全漏洞包括许多电力发电行业已经面临的问题,即来自20世纪50年代的过时SCADA(监控与数据采集)操作技术。这些漏洞已经得到了国家标准与技术研究院(NIST)的深入研究,NIST制定了详细的指导方针(NIST SP 800-82)来保护传统食品加工系统。关于应用NIST指南的教育和协助,可以从由明尼苏达大学兽医学院领导的食品保护和防御研究所获得,但第四代农业革命的数字技术大多源自现代,因此在现代农业操作技术的设计阶段包括网络安全是可能的。
可以肯定的是,将网络安全纳入初始设计和架构中是一个相对较新的考虑,尤其是对于小农场来说。另一方面,大型农场至少已经有了用于保护新设备(如用于监测生长和作物健康状况的无人机)的操作技术软件。然而,根据兰卡斯特的说法,现代农业设备、食品加工配料数据库和供应管道问题的潜在妥协的复杂性尚未被视为一个整体攻击面,因为目前许多不同的系统、加工步骤、货车公司等都是网络安全漏洞的拼图。
许多漏洞也是其他行业共有的,比如国际标准化组织(ISO)的电子通信总线,黑客可以通过它们使所有使用这些总线的设备失效;包含恶意软件的软件更新会影响到所有计算机系统;勒索软件攻击可用于任何工业信息技术系统。但依据兰卡斯特的说法,农业和食品行业还包含着独特的攻击向量。
兰卡斯特的PNNL团队计划在未来几个月内制作其概念验证软件模型的原型,并使用历史数据对其准确性进行测试和验证。希望这个模型能够帮助确定农业和食品行业应该在哪些地方进行网络安全投资。
“我们怀疑该模型将建议,网络安全至少应作为现有智能农业组件的附加功能。” 兰卡斯特说道。
如果测试和验证确定FARM模型提供了合理的建议,那么PNNL团队将开始寻找赞助商来完善其在行业中的应用,包括企业农场、食品加工厂和食品输送供应商。
R. Colin Johnson是京都奖获得者,拥有二十年的技术新闻工作经验。